Công bố thông tin 4 lỗ hổng nghiêm trọng chưa được vá trong Microsoft Windows

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Gấu, 20/05/20, 11:05 PM.

  1. Gấu

    Gấu Moderator Thành viên BQT

    Tham gia: 15/04/20, 09:04 AM
    Bài viết: 5
    Đã được thích: 5
    Điểm thành tích:
    3
    [​IMG]
    Các chuyên gia Zero Day Initiative (ZDI) của hãng an ninh Trend Micro đã công bố thông tin về 5 lỗ hổng chưa được cập nhật bản vá trong Microsoft Windows, bao gồm bốn lỗ hổng được coi là rủi ro cao. Ba trong số đó là các lỗ hổng zero-day (CVE-2020-0916, CVE-2020-0986CVE-2020-0915), có thể cho phép hacker leo thang các đặc quyền trên hệ thống bị ảnh hưởng với điểm CVSS là 7.0.

    Các lỗ hổng ảnh hưởng đến tiến trình điều khiển máy in splwow64.exe, bắt nguồn từ việc thiếu xác thực thông tin đầu vào do người dùng cung cấp trước khi giải phóng bộ nhớ.

    Đầu tiên, kẻ tấn công tìm cách có được quyền truy cập thấp vào hệ thống. Sau khi khai thác thành công, hacker có thể thực thi các đoạn mã với quyền mức trung bình mặc dù người dùng hiện tại chỉ có quyền truy cập ở mức thấp.

    Lỗ hổng zero-day cuối cùng trong 4 lỗ hổng có độ rủi ro cao, là một lỗ hổng leo quyền trong việc xử lý các cấu hình kết nối mạng WLAN (không có mã định danh CVE).

    ZDI đã báo cáo vấn đề này với Microsoft vào tháng 12 năm 2019 nhưng hãng không xử lý lỗi trong bản vá tháng 5 năm 2020.

    Nguồn: securityaffairs.co
     
    Chỉnh sửa cuối: 21/05/20, 10:05 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    HustReMw thích bài này.